《安全保护指引》明确规定个人信息、个人信息主体、个人信息生命周期、个人信息持有者 、个人信息持有 、个人信息收集、个人信息使用、个人信息删除的定义。

l “个人信息生命周期”包括收集、保存、使用、委托处理、共享、转让和公开披露、销毁在内的全部生命历程。该规定相对于《个人信息安全规范》，增加了“销毁”。

l “个人信息持有者”是指“对个人信息进行控制和处理的组织和个人”。根据该定义，“个人信息控制者”和“个人信息处理者”都应当适用《安全保护指引》。

l “个人信息持有”是指“对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为”。根据该定义，个人信息持有的范围包括与个人信息相关的资源、环境与管理体系。

l “个人信息使用”是指“通过自动或非自动方式对个人信息进行操作，例如收集、记录、组织、排列、存储、改编或变更、检索、咨询、使用、披露、传播、保护或以其他方式提供、调整或组合、限制、删除或销毁等”。结合《个人信息安全规范》中个人信息控制者对个人信息的使用限制，企业可以判断对何种动作属于个人信息使用并进行操作。

值得注意的是，互联网企业的范围并没有在本《安全保护指引》得到明确，但考虑到其与《个人信息安全规范》相辅相成的作用，以及当前国家法律对于网络安全的重视，我们认为部分能够通过互联网控制、持有、使用个人信息的企业，即使并非传统意义上的互联网企业，也应当参考本《安全保护指引》。

《安全保护指引》明确引用了GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》以及 GB/T 35273—2017《信息安全技术 个人信息安全规范》，并在管理机制和技术措施，以及下述第三部分业务流程中参照了以上两个国家标准的主要内容，但进一步阐明了制度上和技术上如何能够做到对信息的具体保护。

制度上，《安全保护指引》明确了管理制度的内容、制定发布、执行落实及评审改进，呼应了《网络安全法》网络安全等级保护制度中“制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任”的内容。《安全保护指引》对管理机构和管理人员也做了详细的建议，包括管理机构的岗位设置，管理机构的人员配置，管理人员的录用、离岗、考核、教育培训，外部人员访问均可以在《安全保护指引》中找到参考标准。

技术措施上，《安全保护指引》明确互联网企业对个人信息的安全保护水平至少应该达到GB/T22239-2008.7《网络安全等级保护基本要求》中规定的第三级别的安全要求，并明确要求了企业应该采取边界防护、访问控制、入侵防范等措施。企业还要求身份鉴别进行增强措施，例如鉴定信息的频繁更换、复杂程度，将维护账户安全的责任部分转移至企业身上。此外，企业对个人信息访问控制和安全审计也应当采取一定措施，以保障个人信息在全生命周期内的安全性。

《安全保护指引》的详细列明了业务流程中的具体合规要求，补充了《个人信息安全规范》中对个人信息在收集、使用、保存等方面的内容。

l 在个人信息收集方面，《安全保护指引》增加了个人信息收集应执行收集前签署的约定和协议，不应有超范围收集的情况。此外，要求确保收集个人信息过程的安全性，并对安全性做了明确指引。

l 在个人信息保存方面，《安全保护指引》要求应对保存的个人信息根据收集、使用目的、被收集人授权设置相应的保存时限，且应对保存的个人信息在超出设置的时限后予以删除。此外，对保存信息的主要设备以及备份手段做了明确的指引。

l 在个人信息应用方面，再次强调应符合与个人信息主体签署的相关协议和规定，不应超范围应用个人信息，个人信息主体应拥有控制本人信息的权限。

l 在第三方委托方面，明确不应超出信息主体授权同意的范围。并且，应签订相关协议要求受托方符合本规范，对受托方的数据安全能力进行评估。

《安全保护指引》开头即指出“指引适用于指导个人信息持有者在个人信息生命周期处理过程中开展安全保护工作，也适用于网络安全监管职能部门依法进行个人信息保护监督检查时参考使用”。因此，该《安全保护指引》有可能在实践中作为执法部门判断互联网企业是否已经履行相应的安全保护义务的指南，应当引起公司合规的注意。